Chief information security officer (CISO), organisation (entreprise, association ou institution), garantit la sécurité, et assure la disponibilité, l'intégrité, la confidentialité des données et la traçabilité.
Le RSSI dirige le personnel dans l'identification, le développement, la mise en œuvre et le maintien des processus dans l'ensemble de l'entreprise afin de réduire les risques liés à l'information et aux technologies de l'information (NTIC). Le rôle du RSSI n’est pas limité à l’informatique : l’organisation, les ressources humaines et la sécurité physiques sont aussi prises en compte dans la gestion des risques.
RSSI est chargé des choix et des actions concernant
- Identifier et analyser les enjeux et les risques de cybersécurité en tenant compte des évolutions réglementaires,
- Définir les objectifs de cybersécurité en collaboration avec les parties prenantes et élaborer les mesures de sécurité,
- Participer à l’élaboration et au suivi de la politique de sécurité des systèmes d’information en collaboration,
- Définir pour la mise en œuvre de la politique de sécurité des systèmes d’information un plan d’actions annuel
- Assurer le suivi de la gestion des incidents de cybersécurité,
- Rapporter régulièrement à sa hiérarchie les risques de sécurité des systèmes d’information,
- Animer des sessions de sensibilisation au profit du personnel.
RSSI dispose de standards pour effectuer son travail
- Depuis ~1985, TCSEC ;
- Depuis ~1990, ITSEC ;
- Vers 1995, BS 7799 (en) ;
- Depuis 1996, COBIT ;
- En 1996 et 1998, ISO/CEI 15408 (dite "critères communs") V1 et V2, respectivement ;
- Depuis : ISO/CEI 17799, devenue ISO/CEI 27002 en 2005 ;
- Depuis : ISO/CEI 27001.
